Databeskyttelsesreglerne stiller mange krav til den ansvars- og fremtidsbevidste virksomhed. Som dataansvarlig eller -behandler har du sikkert hørt om kravet til at lave en fortegnelse - også er kendt som artikel 30-fortegnelser.
Her skal du som dataansvarlig dokumentere, at de behandlinger, som du har ansvaret for, lever op til databeskyttelsesforordningens regler.
Det kan lyde som en stor mundfuld, og måske er du ikke helt sikker på, hvilke krav du skal opfylde for at kunne fremvise en gyldig fortegnelse.
Ansvarlig behandling af personoplysninger
Fortegnelseskravet kommer i forlængelse af databeskyttelsesforordningens fokus på ansvarlighed. Her bliver der lagt vægt på, at dataansvarlige - og i visse tilfælde også databehandlere – skal efterleve reglerne OG kunne påvise det.
En fortegnelse kan kort sagt strømline din behandlingsaktivitet af personoplysninger og give dig overblik over din praksis. Derudover er den et effektivt værktøj til at gøre dine behandlinger af personoplysninger mere formålsbevidste og professionelle.
Det er ikke blot et spørgsmål om at være compliant, men også et udtryk for, at I driver en virksomhed, der formår at behandle persondata på ansvarlig vis.
LÆS OGSÅ: Tilsyn med databehandlere
Hvad er dit ansvar?
Det er dit ansvar som dataansvarlig eller -behandler, at al behandlingsaktivitet fremgår af din fortegnelse, og at den lever op til databeskyttelsesforordningens krav.
Vær opmærksom på, at Datatilsynet har ret til at anmode om indblik i din fortegnelse, selvom den primært er tænkt som et internt redskab. Du skal kunne fremvise fortegnelsen både i skriftlig og elektronisk form. Derudover er der ingen krav til fortegnelsens format.
Et centralt punkt er kravet om, at al behandling af personoplysninger skal være formålsbestemt. I hver fortegnelse skal du opgive ét relevant formål, inden du påbegynder behandlingerne af persondata. Du behøver ikke beskrive samtlige formål med dine behandlingsaktiviteter, men kan nøjes med at skrive det overordnede formål.
Eksempler på formål kan være en fortegnelse for kunder og kundeaktivitet. Det kan også være en fortegnelse for personaleadministration, som fx dækker over delformålene barsel, lønudbetaling og ferie.
Den dataansvarliges fortegnelse skal indeholde:
- Navn og kontaktoplysninger for den dataansvarlige
- Beskrivelse af formål for behandlinger af personoplysninger
- Kategorier af personoplysninger - minimum en skelnen mellem: almindelige personoplysninger (artikel 6), særlige personoplysninger (artikel 9) og oplysninger om strafbare forhold (artikel 10)
- Kategorier af modtagere ved videregivelse af personoplysninger
- Oplysninger om overførsler af personoplysninger til tredjelande og internationale organisationer
- Forventede slettefrister for de enkelte kategorier af personoplysninger
- Beskrivelse af virksomhedens tekniske og organisatoriske sikkerhedsforanstaltninger
Databehandlerens fortegnelse skal indeholde:
- Navn og kontaktoplysninger for databehandleren
- Kategorier af behandlinger som databehandleren udfører for den dataansvarlige
- Overførsler af personoplysninger til tredjelande og internationale organisationer
- Beskrivelse af virksomhedens tekniske og organisatoriske sikkerhedsforanstaltninger.
Datatilsynet opdaterer vejledning om fortegnelse
I august 2020 har Datatilsynet på baggrund af deres erfaringer opdateret deres vejledning om fortegnelse.
I vejledningen finder du på de sidste sider et eksempel på en fortegnelse over behandlingsaktiviteter.
LÆS OGSÅ: Skal din organisation have en DPO?
